中國專業IT外包服務

加入收藏??

公司微博

網站地圖??

IT外包價格計算器

您當前位置：主頁 > 資訊動態 > 艾銻分享 >

IIS的FastCGI漏洞處理方法-IT運維

2020-06-03 20:33 作者：admin

IIS的FastCGI漏洞處理方法-IT運維

IT運維工作，以服務為中心，以穩定、安全、高效為三個基本點，確保公司的互聯網業務能夠 7×24 小時為您提供高質量的服務。

下面由網絡運維工程師為您講解專業的解決方案

FastCGI解析漏洞 WebServer Fastcgi配置不當，會造成其他文件(例如css，js，jpg等靜態文件)被當成php腳本解析執行。當用戶將惡意腳本webshell改為靜態文件上傳到webserver傳遞給后端php解析執行后，會讓攻擊者獲得服務器的操作權限高風險項漏洞地址(URL) 參數請求方法發現時間恢復時間持續時間
GET 7月16日 10:24 未恢復至今解決方案配置webserver關閉cgi.fix_pathinfo為0 或者配置webserver過濾特殊的php文件路徑例如：

1
2
3
4

if ( $fastcgi_script_name ~ ..*/.*php )
{
return 403;
}

一般來說網上多是nginx用戶有此漏洞，此處客戶的環境是windows server 2008R2的IIS，這里我在‘處理程序映射’里找到php的雙擊進入此界面

進入‘請求限制’

專業：服務器運維機房弱電布線中小企業網絡維護 IT外包
確定后就可以了。
測試：
在服務器上根目錄新建一個phpinfo()的JPG文件test.jpg，訪問http://www.xxx.com/test.jpg/1.php(test.jpg后面的php名字隨便寫)，如果有漏洞則可以看到phpinfo()的信息，反之會返回404錯誤。
后記：
nginx里面處理此問題，網上的解決方法是寫入
try_files $fastcgi_script_name =404;
到fastcgi.conf里面，然后在location中引用

1
2
3
4

location ~ \.php$ {
fastcgi_pass unix:/tmp/phpfpm/php-fpm.sock;
include fastcgi.conf;
}

以上文章由北京艾銻無限科技發展有限公司整理

分享到:

上一篇：HTTPS協議數據加密傳輸基本內容解析-IT運維

下一篇：IP、ICMP、UDP、TCP 校驗和算法分享-IT運維